Home
Direttore Gianluigi Ciacci
Il primo organo di informazione giuridica su Internet per gli operatori del diritto
Redazione | Scrivi a Jei | Per rimanere informati

Approfondimenti Giuridici

23-09-2007

Aziende e Privacy

Dott. Sandro Carboni - sandro_carboni@alice.it

      1. Cookie
Ancora una volta, il giurista è chiamato a risolvere problematiche attinenti sia al diritto sia alle nuove tecnologie. Infatti, la diffusione sempre più massiccia da parte di quest’ultime, ha comportato un grande cambiamento anche nel dover vincere, da parte dell'interlocutore, quella naturale diffidenza che si manifesta ogni qualvolta non si ha voglia di abbandonare le “ vecchie abitudini”.
In un saggio del prof. Renato Borruso esso ci ricorda che chiamarsi giuristi “implica sempre la conoscenza - prima ancora che della norma - del fenomeno, inteso come fatto di vita e di esperienza che la norma vuole regolamentare: altrimenti non si è veri giuristi, ma soltanto legulei”.
Questa breve esitazione deve far riflettere e quindi bisogna capire che nell'era della “società dell'informazione” è doveroso confrontarsi con l’enormi potenzialità messe a disposizione della collettività dalle tecnologie.
Infatti, l'uso della tecnologia ha spinto anche le aziende a utilizzare Internet sia come unico strumento, in quanto esse operano direttamente su Internet, sia come una mera vetrina virtuale, attraverso la quale le aziende possono ampliare la propria quota di mercato, individuando e acquistando anche nuovi clienti con l'obiettivo di tenerli “legati” a sè stessi per le nuove e future transazioni.
Le aziende per fornire servizi utili devono necessariamente, anzitutto, capire le abitudini dei clienti, e cercare di reperire il maggior numero di informazioni idonee per capire i bisogni dei consumatori. Tutto ciò avviene con l'utilizzo di software dedicati, a condizione che questi non oltrepassino quel limite disposto dal legislatore con il “Codice in materia di protezione dei dati personali”(Dlgs 196/2003).
Pertanto, ha rilevanza fondamentale il rispetto della privacy dei consumatori da parte delle aziende che devono applicare la norma concernente la tutela dei dati personali, la quale è destinata a disciplinare anche i futuri assetti tra le imprese e i consumatori.
Nonostante quanto esposto, le aziende insistono a incrementare le risorse col fine di acquisire un elevato numero di dati personali, tutto ciò a discapito del consumatore: talune volte vengono anche registrati dati in quantità eccessiva rispetto al vero utilizzo, con un’operazione al limite della legalità.
Infatti, il consumatore, navigando nella rete, lascia una gran quantità di tracce utili e adoperate dalle imprese, le quali con l'impiego di appositi server raccolgono questi dati e successivamente li inseriscono in un database, con il solo scopo di “profilare” un utente.
Con i dati acquisiti si crea un profilo completo dei navigatori riguardo ai loro gusti in materia di consumo, nonché si registrano anche molti altri dati cosiddetti sensibili.
Alcuni siti di e-commerce tengono traccia di qualsiasi navigazione fatta dall'utente, dai prodotti acquistati ai prodotti esaminati e, a volte, alcune aziende compiono una vera e propria divisione per gruppo demografico.
E’ doveroso segnalare anche che i database sono fonte di reddito per chi li gestisce: essi, infatti, contengono dati estremamente importanti che possono essere oggetto di numerose eventuali compravendite.
Con queste premesse, tutelarsi in Rete diviene sempre più difficile e il raggiungimento dell'anonimato non è facile da ottenere.
I siti web di commercio elettronico utilizzano in modo sfrenato i cookies, che sono dei veri propri marcatori e tracciatori di tutte le operazioni compiute durante la navigazione dal consumatore.
Essi sono inviati dal server-web al browser che li memorizza nel computer dell'utente per poi trasferirli nuovamente ogni volta che l'utente ritorna a navigare nel medesimo sito.
Bisogna però considerare che non sempre i cookies sono malevoli, a volte hanno il mero compito di snellire e velocizzare la navigazione, aiutando l'utente nella gestione di funzioni come ad esempio quelle concernenti i “carrelli” elettronici on-line.
Più precisamente, è doveroso dettare alcune spiegazioni di carattere tecnico: l’”http” è un mero protocollo di comunicazione che si limita esclusivamente ad inviare informazioni all'utente ed esso, senza l'utilizzo dei cookies, non potrebbe essere a conoscenza di alcune informazioni, tra le quali il nome dell'utente che sta navigando in quel preciso momento. Questo metodo è utilizzato per tutti quei siti dinamici, quindi più complessi nei quali bisogna compiere un'autenticazione.
In tali situazioni i cookies sono indispensabili per impedire che gli utenti debbano inserire, ogni volta che passino da una pagina all'altra, nuovamente alcuni dati di controllo.
Pertanto, tutto ciò serve a snellire e a velocizzare la Rete, ovviamente a condizione che per tale metodo si utilizzi nel rispetto della privacy dell'utente e, quindi, osservando anche le disposizioni normative.
Talune volte i cookies possono essere permanenti e in tale circostanza bisogna rispettare una rigida normativa: il titolare del sito web che installa i cookies nel computer dell'utente deve fornire una completa ed esaustiva informativa (art. 13 Dlgs 196/03), anche in riferimento alla durata e, inoltre, ha anche l’onere di dover comunicare il metodo per disabilitare i cookies; tuttavia ciò non sempre si verifica.
Le aziende sono tenute a rispettare le norme disposte dal legislatore con il decreto legislativo 196/03, con il quale si individuano queste regole principali:
- tutta l'attività di memorizzazione delle tracce della navigazione degli utenti deve avvenire nel rispetto dei diritti, nonché delle libertà fondamentali dell'uomo, con particolare attenzione alla dignità, all'identità, alla riservatezza e al diritto alla protezione dei dati personali;
- i sistemi informatici e i software devono essere configurati per ridurre al minimo l'utilizzazione dei dati personali e identificativi. Infatti, quando si riescono a raggiungere comunque le finalità perseguite, la memorizzazione deve avvenire in forma anonima e l'identità dell'interessato deve essere conoscibile solo in casi di necessità. La finalità di “profilazione” deve essere raggiunta preferibilmente con dati anonimi ovvero non identificativi evitando la memorizzazione di dati superflui. A fondamento di tutto ciò vi è il principio di necessità ex art. 3;
- il trattamento dei dati deve avvenire in maniera lecita e corretta ex art. 11, comma 1, lett a;
- si deve, inoltre, rispettare anche il principio di proporzionalità del trattamento dei dati che vieta la memorizzazione di dati concernenti lo stato di salute e la vita sessuale;
- per quanto riguarda i tempi di conservazione si fa riferimento al principio generale ex art. 11 comma 1, lett e che dispone la cancellazione o la trasformazione in forma anonima per quei dati già utilizzati per il fine perseguito. Tuttavia possono essere tenuti per un periodo non superiore a 12 mesi quei dati utili al titolare del sito web concernenti gli acquisti e quindi necessari per lo scopo di “profilazione”. Peraltro, i database non possono essere interconnessi ad altri utilizzati per la “profilazione” dei clienti e neanche utilizzati per raffrontarli e intrecciarli con altre banche dati;
- la finalità di “profilazione” deve essere indicata all'utente, rispettando quei criteri di chiarezza e trasparenza e utilizzando un'informativa preventiva e adeguata, semplice ma completa. E’ obbligo del titolare del sito web indicare puntualmente e con evidenza la finalità di “profilazione”, in modo tale che il consumatore possa decidere liberamente se consentire o negare il proprio consenso.
Il consumatore deve essere avvisato anche nell'ipotesi in cui il titolare abbia intenzione di cedere i dati a terzi, soprattutto in ambito di compravendite di database.
Inoltre, l'interessato deve essere informato anche sui diritti a lui spettanti ex art. 7 Dlgs 196/03, con particolare riferimento al diritto di ottenere la cancellazione immediata, la trasformazione anonima, ovvero il blocco dei dati trattati in violazione della norma.
Allorquando l'informativa sia acclusa in un modulo, questa deve essere evidenziata e collocata in modo autonomo e unitario in un apposito riquadro e, comunque, risultare facilmente visibile.
Un particolare riferimento va dato ai cookies cosiddetti buoni o legittimi: è consentito, infatti, l'utilizzo di essi anche da una direttiva relativa alla vita privata e alle comunicazione elettronica (2002/58/CE).
La direttiva stessa dispone che i cookies suindicati possano essere utilizzati a condizione che si informi l'utente sugli scopi perseguiti da essi. Inoltre, la suddetta norma dispone anche che l'utente sia avvisato ogni qualvolta venga installato un cookie sul proprio computer, consentendo all'utente di poter rifiutare l'operazione.
Comunque, il trattamento dei dati personali deve rispettare, in taluni casi, le disposizioni ex art.17 Dlgs. 196/03, restando assoggettato all'adempimento di specifiche prescrizioni dettate dal Garante previa sua verifica; tale situazione si verifica nell'ipotesi in cui il trattamento dei dati stessi possa presentare rischi per i diritti delle libertà fondamentali nonché della dignità dell'interessato.
Nel momento in cui vengono registrati dati sensibili, questi possono essere trattati solamente dopo aver ricevuto il consenso scritto dell'interessato e dopo previa autorizzazione del garante; sarebbe meglio evitare, tuttavia, la trattazione dei medesimi dati sensibili per la mera finalità di “profilazione”.
Quando si compie una “profilazione” con l'utilizzo di strumenti elettronici, la norma dispone che si debba di volta in volta adempiere l'obbligo preventivo di notifica al Garante ex art. 37, comma 1, lettera di, art. 38.
Nell'ipotesi di mancata osservanza delle suindicate norme, la legge prescrive, oltre alla sanzione amministrativa, anche eventuali responsabilità civili per danni sia patrimoniali che morali ex art. 15 del Codice, nonché sanzioni penali concernenti il trattamento illecito dei dati, la falsità nelle dichiarazioni e notificazione al Garante, l'omessa adozione di misure di sicurezza, l'inosservanza di provvedimenti del Garante (art. 167-170 Dlgs. 196/03). Inoltre, la pena accessoria della condanna per uno dei suddetti reati e la pubblicazione della sentenza (art. 172 Dlgs. 196/03).
Infine, quanto disposto dall'art. 5 del Codice stesso, sono soggetti a rispettare le norme sulla “profilazione” dei dati tutte le aziende appartenenti all'Unione Europea ovvero quelle extracomunitarie che utilizzano strumenti situati nel territorio italiano o soggetto alla sua sovranità.
Ancora non vi è alcuna tutela nell'ipotesi in cui l'azienda sia stabilita in un paese extracomunitario e che il trattamento dei dati avvenga fuori dall'Unione Europea: in tale ipotesi, l'utente è sprovvisto di tutela e coloro che sono meno attenti e convinti di essere tutelati, potrebbero fornire i propri dati, rimanendo completamente privati da ogni possibile tutela, che potrebbero diventare oggetto di eventuali future compravendite.
Questi pericoli in cui incorre l'utente spesso sono in ambito on-line: ancora molte aziende non affrontano adeguatamente la problematica della privacy dei loro clienti non rendendosi conto della possibile crescita del rapporto fiduciario tra loro e i consumatori. Si spera in una volontà del mercato di adeguarsi a rispettare il Codice in materia di protezione dei dati personali e soprattutto a interpretare le problematiche suindicate anche con una visione etica.

      2. Email aziendale
La problematica che affligge ogni dipendente di azienda in questi ultimi anni riguarda l’utilizzo dell’email messa a disposizione dall’azienda stessa per facilitare la corrispondenza.
Occorre tenere presente che il Garante della privacy ricordava nel 1999 che la Legge N. 547/93 sui reati informatici e il D.P.R. N. 513/97 sul documento elettronico hanno confermato che la posta elettronica deve essere tutelata alla stregua della corrispondenza epistolare o telefonica, nel suo rispetto dei principi dettati dall’art. 15 della Costituzione.
In riferimento a quanto illustrato, si analizzano le problematiche nascenti dall’utilizzo di email aziendali. Infatti, molte aziende per agevolare il lavoro di corrispondenza dei loro dipendenti gli attribuiscono una casella di posta elettronica.
La problematica  concerne i poteri che l’azienda ha sulla lettura dell’email aziendale, sia dei messaggi inviati che di quelli ricevuti.
Molte aziende superano la suindicata problematica e ritengono che sia sufficiente comunicare ai propri dipendenti la possibilità che la loro email sia letta in caso di loro assenza.
D’altro canto, la norma tutela il diritto all’inviolabilità dell’email ed essa, per nessun motivo, può essere letta da terzi non autorizzati che vengano, così, a conoscenza del suo contenuto.
Pur restando il problema della distinzione tra i messaggi privati protetti, da quelli professionali controllabili, vi sarebbe una possibile soluzione che potrebbe essere quella di evitare di usare il nome e cognome del dipendente, ma di registrare l’email facendo un mero riferimento alla sua funzione particolare, ad es. marketing@nomeazienda.it, cosicché si eviterebbe il legame con la persona fisica o, comunque, le problematiche inerenti la privacy avrebbero certamente un tono più sfumato.
Tuttavia per evitare ogni sorta di dubbio pare opportuno che il datore di lavoro eviti di leggere la corrispondenza privata del proprio dipendente e, in ogni caso, chiarisca con esso e in forma scritta quale sia la funzione dell’email onde evitare successivi ed eventuali equivoci.
Comunque, è consigliabile utilizzare la posta elettronica aziendale solo per fini esclusivamente lavorativi.
Anche il Garante è consapevole del problema e con un provvedimento generale pubblicato sulla “Gazzetta Ufficiale” ha fornito complete ed esaustive indicazioni sul corretto utilizzo dell’email aziendali.


     Bibliografia
- Agenti software e commercio elettronico: profili giuridici, tecnologici e psico sociali, Giovanni Sartor, Claudia Cevenini, Gioacchino Quadri di Cardano, Gedit, 2006
- Cresce il consumatore on line, S. Bolzoni, Il Sole 24, Ore, 17/04/1998
- Codice in materia di protezione dei dati personali, Dlsg 196/2003
- Decreto del Presidente della Repubblica 10 novembre 1997, n. 513
- Il libro del commercio elettronico, Steffano Korper, Juanita Ellis, Apogeo
- Il diritto dell'era digitale, Giovanni Pascuzzi, Il Mulino, 2006
- Il commercio elettronico, Giampiero Di Carlo, Etas, 1999
- I cookie: cosa sono e perchè servono, G.M. Borrello, www.interlex.it
- E-mail at work: la posta elettronica in azienda, Whelan, Jonathan, Milano, Tecniche nuove, 2000
- L'informatica del diritto, R.Borruso, R.M.Di Giorgi, L.Mattioli e M.Ragona, Milano, Giuffrè, 2004
- Legge 23 dicembre 1993, N. 547
- Web security, Privacy & e-commerce, S.Garfinkel, G. Spafford, Hops, 2002
- www.garanteprivacy.it
- www.diritto.it
- www.giuriweb.unich.it
- www.computerlaw.it
- www.ambientediritto.it
- www.interlex.it
 
INFOGIURIDICA
 
NOVITA'
GIURISPRUDENZIALI
APPROFONDIMENTI
GIURIDICI
NOVITA'
EDITORIALI
INFORMAZIONE
PARLAMENTARE

ARCHIVIO di Jei



Cerca in Jei



Ricerca avanzata
Copyright © 1996/2008 Associazione G.E.I. v. di S. Costanza 7 00198 Roma Cod. Fisc. e P. IVA: 05199931006
 
Home